5月 8, 2015 10:01 am

Windows Update for Business を発表

本ブログは、Bloggig Windows ” Announcing Windows Update for Business″ の抄訳です。

本日、Ignite (英語) において Windows Update for Business の設計についてご紹介する機会に恵まれました。この新サービスによって IT プロフェッショナルは最新のセキュリティ対策や Windows 機能を入手して、自社の Windows デバイスを常に最新の状態に保つことができます。Windows Update for Business は、すべての Windows Pro および Windows Enterprise デバイスに無償サービスとして提供されます。この記事では、今日のスマート デバイス エコシステムにおける Windows Update for Business の独自性と価値についてご説明したいと思います。

本日の発表内容は、昨年 9 月に初めてご紹介したビジネスのお客様向けの Windows 10 の取り組みを引き継ぐものです。それ以来、セキュリティ展開管理など、企業のお客様を対象とした Windows 10 のその他の機能についてもご案内してきました。もちろん、これらはすべて、だれもが大きな成果を達成できるように支援する Windows 10 のエンド ユーザー エクスペリエンスを基盤として設計されており、使い慣れたスタート メニュー、新しいアクション センター、Continuum (英語)Windows HelloCortana (英語) が提供されます (近日中に、本日 Joe Belfiore が行った Cortana のデモが公開されます。自然言語で質問して Power BI から回答が得られるようすをご覧いただけます。こちらのページ (英語) に追加される予定です)。

現在のセキュリティ環境

そうは言っても、Windows 10 を設計するうえで何よりも優先されている事項は、複雑で顕著なセキュリティ攻撃の現状に備えることです。Windows 10 のセキュリティは、スタックのすべての層で実現されます。

  1. デバイス保護: まず、デバイスの電源を入れると、ハードウェアベースのセキュア ブートにより、信頼されたソフトウェアのみが読み込まれます。次に、Windows 10 の新しい Device Guard 機能が、ビジネス向け Windows ストア (英語) などの信頼されたソースから入手したアプリケーションの実行を許可します。Device Guard はハードウェアベースの Hyper-V の分離によって支えられ、ソフトウェアベースの脅威に対する堅牢性が確保されています。最後に、Windows 10 には新しいデバイスの正常性機能が追加され、企業や Web サイトにおいて、完全に更新され、コンプライアンスに準拠した正常なデバイスからのみユーザーがサービスにアクセスできるようにします。
  2. ID 保護: Windows 10 の Microsoft Passport 機能では、ハードウェアベースの Hyper-V の分離を利用して資格情報を保護し、パスワードを送信することなく、お客様の代わりに Web サイトやネットワークでの認証が安全に行われます。Microsoft Passport ではパスワードを利用しないため、フィッシングされたり、サーバーに保存してハッキングされたりするおそれがありません。この機能により、企業のお客様は永久に Pass the Hash 攻撃のリスクから解放されます。また、Windows Hello が導入され、生体認証もかつてないほど簡単になります。
  3. アプリケーション保護: ビジネス向け Windows ストア (英語) では、アプリケーションを配布する前に認定が行われます。また、Device Guard 機能により、企業のデバイス上では認定されたアプリケーションのみが実行されます。
  4. 情報保護: Windows 10 の企業データの保護機能では、企業のアプリ、データ、メール、Web サイトのコンテンツなどの機密情報が企業ネットワークからデバイスに移動される際に、それらを自動的に暗号化することができます。

これらの保護がすべて提供されているものの、やはり企業のお客様がデバイスを保護するために最も有効なのは、最新のセキュリティ更新プログラムによって常に最新の状態を維持することです。マイクロソフトは、責任を持って Windows のセキュリティを確保するように努めています。報告されたすべてのセキュリティ問題を追跡調査し、最先端の手法によりソフトウェアを継続的にテストして、サポート対象のデバイスで問題に対処できるように必要な更新プログラムを事前に提供します。本日、この継続的な更新プロセスが、スマートフォンを含むすべての Windows 10 デバイスに適用されることを発表しました。

このような取り組みやサポートは、たとえば Android では見られないものです。Google はお客様のデバイスを更新する責任を負っていないため、エンド ユーザーや企業のお客様が利用するデバイスが攻撃を受けるリスクは日に日に高まっています。

現在の更新プロセス

マイクロソフトは、Windows を利用されているすべてのお客様に Windows Update を無償サービスとして提供しています。現在、Windows Update を通じて 8 億 5000 万を超える多様な Windows デバイスを管理しており、定期的に更新を実施してセキュリティや品質を向上させています。Windows 10 では、セキュリティ更新に加えて開発中の Windows の最新技術が Windows Update から定期的に提供されます。

Windows を利用している企業のお客様向けに、さまざまな更新管理ソリューションがサポートされています。これらのソリューションを活用すれば、どの更新プログラムをいつ、どのデバイスに展開するかをお客様が選択できます。これらの Windows 更新ソリューションの設計ポイントは、メインフレームと同じように、企業で利用されている Windows デバイスを選択的に更新できるようにすることでした。メインフレームでは信頼性が最優先課題であり、「壊れていないなら直そうとするな」という哲学が指針として掲げられています。今日でも、この機能は世界中の多くのミッション クリティカルな Windows デバイスで広く利用されています。Windows 10 では、これらのミッション クリティカルなデバイスのサポートを強化し、機能更新を含まずセキュリティ更新のみを含む「Long Term Servicing Branch」を提供します。

しかし、今日の企業で利用されているエンド ユーザー デバイスを考えた場合、このアプローチが適切でないことは明らかです。企業のユーザーは、Windows コンシューマー デバイスに提供されるものと同じ Windows の最新技術を利用できることを期待しますが、選択的更新を実施すれば、展開が遅れます。また、マイクロソフトはプラットフォーム全体としての綿密なテストを実施しているため、選択的更新を大規模に行うことによりお客様固有の品質問題が生じる可能性があります。選択的更新の結果としてプラットフォームが多様化することで、開発者によるイノベーションが妨げられ、アプリの品質にも問題が生じています。加えて、選択的更新はコストがかかり、IT プロフェッショナルにとっては報われない作業です。そこで Windows 10 では、企業のエンド ユーザー デバイスに新しいアプローチを採用することにしました。

Windows Update for Business の導入

Windows 10 では、新しいオプションとして Windows Update for Business が提供されます。マイクロソフトは、世界中の IT プロフェッショナルと協力して、企業のエンド ユーザー デバイスを対象とした Windows Update の新機能を設計しました。Windows Update for Business を利用すると、IT プロフェッショナルは以下のことを実現できます。

  • 配布リング: 社内で最初に更新されるデバイスと後から (品質の問題が解決されてから) 更新されるデバイスを指定できます。
  • メンテナンス期間: 更新を実行する時間帯や実行してはいけない時間帯を指定できます。
  • ピアツーピア配信: 帯域帯の制限時にも非常に効率的に、ブランチ オフィスやリモート サイトに更新プログラムを配信できます。
  • 既存ツールとの統合: System Center や Enterprise Mobility Suite (英語) などを統合することで、これらのツールを引き続きすべてのシステムの一元管理に使用できます。

Windows Update for Business では、管理コストの削減、更新プログラムの展開の制御、より迅速なセキュリティ更新プログラムの提供、マイクロソフトの開発中の最新技術の利用が可能になります。Windows Update for Business は、Windows Pro および Windows Enterprise デバイスに無償で提供されます。Windows Update for Business はインテリジェント クラウドの一部であり、Windows デバイスの更新や保守はマイクロソフト側で行いますが、お客様側で制御することができます。

Windows Update for Business の開発過程にご協力いただける場合は、ぜひ Windows 10 Insider Program にご参加ください。Windows 10 をロールアウトする際には、Windows デバイスを分類して各デバイス クラスに最適な更新アプローチを検討してから、エンド ユーザー デバイスで Windows Update for Business のパイロット運用を開始することをお勧めします。マイクロソフトはイノベーションに携わるパートナーとして IT プロフェッショナルの皆様と共に、企業のエンド ユーザー コンピューティングのニーズに対応した優れたソリューションを形成していきたいと考えています。

最後までお読みいただき、ありがとうございました。 Terry Myerson